Existe uma maneira de configurar uma MTU menor para o tráfego destinado a um endereço IP específico no Cisco ASA?

4

Eu tenho um número de sites VPN onde o MTU é menor que o padrão (1500). Eu tive pelo menos um site onde a fragmentação de pacotes teve um efeito sobre o sucesso da construção de um túnel IPSEC.

Eu posso definir o MTU no equipamento nos locais remotos. No entanto, na matriz, não gostaria de definir o MTU como o menor denominador comum.

Existe uma maneira de configurar um MTU menor para o tráfego destinado a um endereço IP específico?

A fragmentação é algo que eu preciso me preocupar para o funcionamento de conexões VPN? Vale a pena abordar isso onde eu não tem problemas?

O equipamento HQ é um ASA 5510. Os locais remotos têm o ASA 5505.

    
por dunxd 03.08.2011 / 14:42

1 resposta

1

Não que eu saiba .. interfaces de túnel virtual com certeza seriam boas.

Tente crypto ipsec df-bit clear-df outside , para deixar tudo fragmentar - isso não corrigirá problemas de MTU, mas funcionará em torno deles ao permitir que os pacotes sejam fragmentados em vez de serem descartados.

Além disso, os túneis realizam com sucesso a descoberta da MTU do caminho? Os problemas de MTU no caminho devem obter uma resposta MTU ICMP do caminho, que deve acionar o túnel para ajustar dinamicamente seus MTUs (a linha #PMTUs ... do comando sh crypto ipsec sa).

    
por 04.08.2011 / 16:32